免费智能真题库 > 历年试卷 > 信息处理技术员 > 2016年下半年 信息处理技术员 上午试卷 综合知识
  第63题      
  知识点:   我国标准代号及编号   系统安全   信息系统安全   信息系统安全等级   信息系统安全等级保护基本要求
  关键词:   安全等级   信息系统安全   安全   系统安全   信息系统        章/节:   有关法律法规的基本知识       

 
《信息系统安全等级保护基本要求(GB/T22239-2008)》属于(63)。
 
 
  A.  国际标准
 
  B.  国家标准
 
  C.  行业标准
 
  D.  企业标准
 
 
 

 
  第63题    2019年下半年  
   38%
《ISO/IEC 27001信息安全管理体系》属于(63)。
  第63题    2017年下半年  
   40%
《信息安全技术云计算服务安全指南》(GB/T31167-2014)属于( )。
  第64题    2017年上半年  
   37%
《信息技术汉字字型要求和检测方法》 (GB/T 11460-2009)属于( )
   知识点讲解    
   · 我国标准代号及编号    · 系统安全    · 信息系统安全    · 信息系统安全等级    · 信息系统安全等级保护基本要求
 
       我国标准代号及编号
        我国标准编号的基本结构为“标准代号+顺序号+年代号”。
        (1)国家标准代号由大写汉字拼音字母构成,强制性国家标准代号为GB,推荐性国家标准代号为GB/T。
        (2)行业标准代号由汉字拼音大写字母组成,再加上斜线T组成推荐性行业标准(如××/T)。行业标准代号由国务院各有关行政主管部门提出其所管理的行业标准范围的申请报告,国务院标准化行政主管部门审查确定并正式公布该行业标准代号。已正式公布的行业代号有QJ(航天)、SJ(电子)、JB(机械)和JR(金融系统)等。
        (3)地方标准代号由大写汉字拼音DB加上省、自治区、直辖市行政区划代码的前两位数字(北京市11、天津市12、上海市31等)组成,再加上斜线T组成推荐性地方标准(如DB××/T),不加斜线T为强制性地方标准(如DB××)。
        (4)企业标准的代号由汉字大写拼音字母Q加斜线再加企业代号组成(如Q/×××),企业代号可由大写拼音字母或阿拉伯数字或两者兼用组成。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       信息系统安全
               信息系统安全的概念
               信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,维护信息系统的安全运行。
               信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化,例如:
               .个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。
               .从网络运行和管理者角度说,最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。
               .对安全保密部门和国家行政部门来说,最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。
               .从社会教育和意识形态角度来说,最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
               信息系统安全的属性
               信息系统安全的属性主要包括:
               .保密性:是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性建立在可用性基础之上,是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下:
               最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
               防暴露:防止有用信息以各种途径暴露或传播出去。
               信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
               物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,来保护信息不被泄露。
               .完整性:是信息未经授权不能进行改变的特性,即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下:
               协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
               纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
               密码校验和方法:是抗篡改和传输失败的重要手段。
               数字签名:用于保障信息的真实性。
               公证:请求系统管理或中介机构证明信息的真实性。
               .可用性:是应用系统信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。
               .不可抵赖性:也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
               信息系统安全管理体系
               信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
               不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
               .配备安全管理人员。
               .建立安全职能部门。
               .成立安全领导小组。
               .主要负责人出任领导。
               .建立信息安全保密管理部门。
               信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
               信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
               .物理安全:包括环境安全、设备安全和记录介质安全。
               .运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
               .数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
 
       信息系统安全等级
        GB 17895—1999《计算机信息系统安全保护等级划分准则》中将信息安全分为五个等级,分别为:
        .自主保护级。
        .系统审计保护级。
        .安全标记保护级。
        .结构化保护级。
        .访问验证保护级。
 
       信息系统安全等级保护基本要求
        《GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求》包含以下重点内容。
               信息系统安全保护能力等级
               信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。
               第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁发起的恶意攻击,一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,并且在系统遭到损害后,能够恢复部分功能。
               第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁发起的恶意攻击,一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
               第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富的资源资源的威胁发起的恶意攻击,较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
               第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁发起的恶意攻击,严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
               第五级安全保护能力(略)。
               基本技术要求和基本管理要求
               基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的基本要求。根据实现方式不同,基本安全要求分为基本技术要求和基本管理要求。技术类安全要求与信息系统管理提供的技术安全机制相关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动相关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
               基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。基本技术要求和基本管理要求是信息安全不可分割的两个方面。
               根据保护侧重点不同,技术类安全要求进一步细分为:保护数据存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)。
   题号导航      2016年下半年 信息处理技术员 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第63题    在手机中做本题